Gaia Bottà

Germania, lecito sospettare del software in scatole cinesi

Se l'installer impacchetta il software desiderato con applicazioni indesiderate, senza concedere chiaramente la libertà di selezionare cosa scaricare, l'antivirus ha il compito di segnalarlo. La decisione di un tribunale tedesco

Roma - Quando la trasparenza non è garantita, quando il consumatore rischia di lasciarsi confondere da bundle che veicolano software non desiderato, all'antivirus è concesso entrare in azione per prevenire download inattesi: gli installer devono garantire trasparenza al consumatore, ha stabilito la giustizia tedesca.

La security company Avira era stata chiamata in causa da Freemium.com, che mette a disposizione un installer utile a monetizzare prodotti software aggregandoli ad altri prodotti software che paghino per la visibilità, siano essi trial gratuiti, toolbar, adware. L'antivirus, riscontrando il meccanismo delle scatole cinesi sfruttato per i bundle veicolati dall'installer, e giudicandolo poco trasparente nei confronti degli utenti, lo bolla come PUA, Potentially Unwanted Application.

Freemium, per questo motivo, aveva lamentato come i prodotti antivirus dell'azienda tedesca contribuissero a far diffidare i netizen dall'installer, fino a quel momento sfruttato da siti e media company autorevoli: a partire dal mese di febbraio, il comportamento di Avira avrebbe provocato una contrazione del 50 per cento del giro d'affari dell'azienza, configurandosi così come responsabile di un comportamento anticompetitivo da arginare tempestivamente, da punire con un risarcimento e con il carcere per i vertici della dirigenza.
Avira, dal canto suo, aveva spiegato al tribunale come i pacchetti di software veicolati dall'installer siano poco chiaramente distinti dall'applicazione principale di cui l'utente intende eseguire il download, e come altrettanto poco chiaramente siano messe a disposizione le condizioni d'uso e le opzioni per scremare le componenti indesiderate del pacchetto confezionato da Freemium.

Il tribunale di Berlino ha scelto di dare ragione ad Avira: nel momento in cui il pacchetto di software viene proposto senza le opportune opzioni a favore della selezione da parte dell'utente, all'antivirus è permesso di agire per bloccare i download.
La security company, che si dice favorevole a modelli di business alimentati dall'advertising e dai meccanismi di parziale gratuità per incoraggiare agli acquisti, a patto che non ingannino il consumatore, ha definito la decisione del tribunale come un importante precedente a supporto della trasparenza che gli antivirus si fanno carico di difendere.

Gaia Bottà
Notizie collegate
  • BusinessJava si accompagna con YahooIl motore di ricerca in viola si sostituisce alla toolbar di Ask nel processo di aggiornamento di Java: in Italia ambisce ad essere il search engine di default per ogni browser
  • AttualitàSourceForge: solo pubblicità graditaIl repository di software open e free illustra le proprie posizioni invitando gli utenti a segnalare i banner più ingannevoli, assicurando che l'installer farcito di software indesiderato offre libertà di scelta
  • AttualitàGIMP abbandona SourceForgeIl celebre repository di software FLOSS perde un nome importante: GIMP trasferisce il suo codice altrove per non sottoporre gli utenti al bombardamento di pubblicità e software indesiderato
29 Commenti alla Notizia Germania, lecito sospettare del software in scatole cinesi
Ordina
  • Magistratura? Mi sfugge come un software evidentemente opt-in (Avira devi installarlo scientemente, non viene fornito con il sistema operativo) possa dover sottostare a delle regole che definiscono cosa è o non è malware (o PUA, in questo caso). Mica c'è un albo degli antivirus (credo nemmeno in Germania, ma è una sicurezza che mi manca), e anzi sulle capacità di identificazione delle minacce si basa il business proprio di questi software.
    È un po' come se io scrivessi un programma che modifica il file hosts per impedirti di visitare Google e qualcuno, coscientemente, lo installasse: se Google venisse a lamentarsi che gli sto sottraendo traffico, beh... credo che un giudice si farebbe una bella risata come si è fatto in questo caso.
    E come si è fatto nelle cause contro gli adblockers. Ora che mi sovviene, sempre in Germania... qualcuno conosce la situazione giuridica tedesca su questi argomenti? In effetti mi sembra una coincidenza curiosa.
    non+autenticato
  • E' bene sottolineare che di qualunque cosa stia parlando l'articolo, l'enorme difetto sottinteso e' il sistema operativo winsozz che non dispone di un gestore di pacchetti nativo come hanno i sistemi operativi piu' seri, e perfino i sistemi operativi idiot-oriented.
  • - Scritto da: panda rossa

    > E' bene sottolineare che di qualunque cosa stia
    > parlando l'articolo, l'enorme difetto sottinteso
    > e' il sistema operativo winsozz che non dispone
    > di un gestore di pacchetti nativo come hanno i
    > sistemi operativi piu' seri, e perfino i sistemi
    > operativi
    > idiot-oriented.

    Da Linuxaro (Debianista) però devo ammettere che il formato di packaging di Linux non ti mette al riparo da queste cose, anzi.
    La gente (soprattutto Ubuntisti) ormai scarica i .deb da ovunque, fa doppio click, mette la password (neanche di root, la propria) e installa laQualunque, inclusi possibili loginKit, botKit e simili, senza rendersene conto.
    non+autenticato
  • - Scritto da: Shu
    > - Scritto da: panda rossa
    >
    > > E' bene sottolineare che di qualunque cosa stia
    > > parlando l'articolo, l'enorme difetto sottinteso
    > > e' il sistema operativo winsozz che non dispone
    > > di un gestore di pacchetti nativo come hanno i
    > > sistemi operativi piu' seri, e perfino i sistemi
    > > operativi
    > > idiot-oriented.
    >
    > Da Linuxaro (Debianista) però devo ammettere che
    > il formato di packaging di Linux non ti mette al
    > riparo da queste cose,
    > anzi.

    Puo' darsi, ma e' innegabile che non venga abusato come su win.

    > La gente (soprattutto Ubuntisti) ormai scarica i
    > .deb da ovunque, fa doppio click, mette la
    > password (neanche di root, la propria) e installa
    > laQualunque, inclusi possibili loginKit, botKit e
    > simili, senza rendersene
    > conto.

    Non sono tanto diversi da quelli che si scaricano BelenRodriguezNuda.exe e quando gli viene chiesta l'autorizzazione a dare all'eseguibile tutte le autorizzazioni, vanno subito a cliccare OK con la mano sinistra.
  • - Scritto da: Shu
    > - Scritto da: panda rossa
    >
    > > E' bene sottolineare che di qualunque cosa stia
    > > parlando l'articolo, l'enorme difetto sottinteso
    > > e' il sistema operativo winsozz che non dispone
    > > di un gestore di pacchetti nativo come hanno i
    > > sistemi operativi piu' seri, e perfino i sistemi
    > > operativi
    > > idiot-oriented.
    >
    > Da Linuxaro (Debianista) però devo ammettere che
    > il formato di packaging di Linux non ti mette al
    > riparo da queste cose,
    > anzi.
    > La gente (soprattutto Ubuntisti) ormai scarica i
    > .deb da ovunque, fa doppio click, mette la
    > password (neanche di root, la propria) e installa
    > laQualunque, inclusi possibili loginKit, botKit e
    > simili, senza rendersene
    > conto.

    ubuntu ha idiotizzato debian, rendendola usabile da cani e porci, paragonare i debianisti agli ubuntisti e' come paragonare i diamanti ai culi di bottiglia, e su, dai. esseri inferiori, gente a livello di chi usa apple, tanto per capirci.
    non+autenticato
  • - Scritto da: panda rossa
    > il sistema operativo winsozz che non dispone
    > di un gestore di pacchetti nativo

    Devi informarti prima di scrivere. Il servizio in questione si chiama Windows Installerà ed è presente su Windows da moltissimi anni.
    Detto questo come può un servizio del genere bloccare il fenomeno? Non lo può come del resto non lo può fare nessuno dei servizi equivalenti su Linux.

    P.S.: corso di amministrazione Windows sempre consigliato per te.
    non+autenticato
  • - Scritto da: Zucca Vuota
    > - Scritto da: panda rossa
    > > il sistema operativo winsozz che non dispone
    > > di un gestore di pacchetti nativo
    >
    > Devi informarti prima di scrivere. Il servizio
    > in questione si chiama Windows Installerà ed è
    > presente su Windows da moltissimi anni.

    L'installer di windows permette ai programmi di fare quello che vogliono senza il minimo controllo, non tiene la minima traccia di quello che viene installato e non si preoccupa minimamente della disinstallazione a meno che non sia prevista da chi ha creato l'installante.

    Inoltre, peggio del peggio, microsoft permette di usare installer di 3' parti che potrebbero contenere qualsiasi cosa.

    E' la politica dietro all'installer che non va, forse con 10 cambierà qualcosa, forse... Vedremo.
    non+autenticato
  • - Scritto da: 120938


    > L'installer di windows permette ai programmi di
    > fare quello che vogliono senza il minimo
    > controllo,

    Di che stiamo parlando?

    > non tiene la minima traccia di quello
    > che viene installato

    Non è vero!

    > e non si preoccupa
    > minimamente della disinstallazione a meno che non
    > sia prevista da chi ha creato
    > l'installante.

    Anche questo non è vero!

    >
    > Inoltre, peggio del peggio, microsoft permette di
    > usare installer di 3' parti che potrebbero
    > contenere qualsiasi
    > cosa.

    Anche altri sistemi (Linux e OSX compresi) permettono questo.

    > E' la politica dietro all'installer che non va,
    > forse con 10 cambierà qualcosa, forse...
    > Vedremo.

    10 non cambierà se non con le app (come già succeede con WindowsFicoso.
    non+autenticato
  • - Scritto da: Zucca Vuota
    > - Scritto da: 120938

    > > L'installer di windows permette ai
    > > programmi di fare quello che vogliono
    > > senza il minimo controllo,

    > Di che stiamo parlando?

    Delle linee guida che da microsoft sui processi di installazione e disinstallazione dei prodotti.

    > > non tiene la minima traccia di quello
    > > che viene installato
    >
    > Non è vero!

    Allora come mai su Advanced Uninstaller Pro ci sono programmi che nel windows installer non compaiono ?

    > > e non si preoccupa minimamente della
    > > disinstallazione a meno che non
    > > sia prevista da chi ha creato
    > > l'installante.

    > Anche questo non è vero!

    Allora come mai su Advanced Uninstaller Pro ci sono programmi che nel windows installer non compaiono ?

    > > Inoltre, peggio del peggio, microsoft
    > > permette di usare installer di 3' parti
    > > che potrebbero contenere qualsiasi cosa.

    > Anche altri sistemi (Linux e OSX compresi)
    > permettono questo.

    Parzialmente, e le policy sono ben più chiare.

    > > E' la politica dietro all'installer
    > che non va, forse con 10 cambierà
    > qualcosa, forse...
    > Vedremo.

    > 10 non cambierà se non con le app (come già
    > succeede con Windows
    >Ficoso.

    Secondo me microsoft riuscirà a fare casino anche con quelleA bocca aperta ma vedremo...
    non+autenticato
  • Eccolo li, un software di terze parti installa una toolbar ed il problema non é del software ... non é dell'utente che non legge ... ma é il sistema operativo che non ha un gestore di pacchetti.

    Invece in questo caso : http://askubuntu.com/questions/453440/missing-syst... , avresti sicuramente detto che il problema é l'utente.

    Annoiato
  • - Scritto da: aphex_twin
    > Eccolo li, un software di terze parti installa
    > una toolbar ed il problema non é del software ...
    > non é dell'utente che non legge ... ma é il
    > sistema operativo che non ha un gestore di
    > pacchetti.
    >
    > Invece in questo caso :
    > http://askubuntu.com/questions/453440/missing-syst
    >
    > Annoiato

    Qua fuori dal magico campo di distorsione della mela:

    Bug != Feature

    Capisco che tu sei stato addestrato a credere il contrario.
    non+autenticato
  • Quindi secondo te l'esempio nel link é un bug o una feature ? A bocca apertaA bocca aperta
  • cioe', la giustificazione era "se te la da uno 'autorevole', allora martellata sul piede e' giustificata". che logica legale de li mejo morti loro.
    e poi, chi definisce chi "autorevole"? bravo il giudice crucco, una volta tanto la Legge fa Giustizia
    non+autenticato
  • Mi sembra la soluzione più trasparente per veicolare altro software. Nella pagina di download di Reader c'è un checkbox (che se non fosse spuntato di default sarebbe meglio...) per l'installazione aggiuntiva di mcafee.
    non+autenticato
  • - Scritto da: Dumah Brazorf
    > Mi sembra la soluzione più trasparente per
    > veicolare altro software. Nella pagina di
    > download di Reader c'è un checkbox (che se non
    > fosse spuntato di default sarebbe meglio...) per
    > l'installazione aggiuntiva di
    > mcafee.


    lo fa anche con flash (che è ben più diffuso di Reader)
    quanto a reader, davvero non capisco come mai la gente continui ad usare quel pachiderma, quando il formato PDF ormai a momenti lo legge persino notepad...

    Ora non venitemi a dire "eh, ma l'uso professionale!1" perché è roba per un percentuale ridicola di utenti...
    non+autenticato
  • Concordo per flash,è una stupidaggine le 2 caselline già spuntate di default.
    D'accordo anche per Reader,ormai ci sono N lettori gratuiti,persino all'interno del browser e molto più veloci a caricare le pagine e più leggeri.
    non+autenticato
  • - Scritto da: Dumah Brazorf
    > Mi sembra la soluzione più trasparente per
    > veicolare altro software. Nella pagina di
    > download di Reader c'è un checkbox (che se non
    > fosse spuntato di default sarebbe meglio...) per
    > l'installazione aggiuntiva di
    > mcafee.

    Nei club di scambisti c'e' gente che paga per farsi frustare.

    Io questi li capisco, a fatica, ma li capisco.

    Chi si installa Adobe Reader invece non lo capisco proprio.
    E' un livello di masochismo che trascende ogni piu' abominevole perversione.
  • - Scritto da: panda rossa

    > Chi si installa Adobe Reader invece non lo
    > capisco
    > proprio.
    > E' un livello di masochismo che trascende ogni
    > piu' abominevole
    > perversione.

    C'è gente che cracca winzip. Nel 2015.
    Funz
    12995
  • - Scritto da: Dumah Brazorf
    > Mi sembra la soluzione più trasparente per
    > veicolare altro software. Nella pagina di
    > download di Reader c'è un checkbox (che se non
    > fosse spuntato di default sarebbe meglio...) per
    > l'installazione aggiuntiva di
    > mcafee.

    E pensa che a me già questo infastidisce parecchio assai...

    Poi, detto tra noi, un mondo senza spazzatura Adobe sarebbe un mondo migliore.
  • Cara Avira, ma con la tua Ask toolbar modificata che installi (installavi?) assieme all'antivirus Free, come la mettiamo?
    non+autenticato
  • E mica solo avira......
  • - Scritto da: Ciccio
    > Cara Avira, ma con la tua Ask toolbar modificata
    > che installi (installavi?) assieme all'antivirus
    > Free, come la
    > mettiamo?

    l'articolo parla di software embedded in cui non c'è il flag per disabilitare l'installazione.
    In avira (e nella maggior parte dei software famosi) il flag c'è.
    Casomai io metterei come regola che l'antivirus ti avverte a seconda di come è messo di default il flag in modo che installi merda solo consapevolmente.
    non+autenticato
  • - Scritto da: ...

    > l'articolo parla di software embedded in cui non
    > c'è il flag per disabilitare
    > l'installazione.

    Leggi meglio, l'articolo parla di opzioni di difficile identificazione, non mancanti completamente.

    Ed almeno un tempo, Avira Free ti suggeriva periodicamente di "attivare web protection" anche in un secondo tempo, se non avevi installato la web protection/ask toolbar durante l'installazione iniziale. Forse ora non è più così. Nota: nelle versioni Professional (a pagamento), MI PARE che si possa attivare web protection senza bisogno di installare alcuna toolbar, ma mi potrei sbagliare.
    non+autenticato
  • - Scritto da: Ciccio

    > Leggi meglio, l'articolo parla di opzioni di
    > difficile identificazione, non mancanti
    > completamente.


    ok, allora l'antivirus che usi prima di installare Avira dovrebbe avvetirti (ma, secondo me, non bloccarti devi essere libero di installare sia l'AV che il regalino, se proprio vuoi).
    Io non vedo nulla di sbagliato in una funzionalità di protezione del genere, anzi...
    non+autenticato
  • - Scritto da: ...
    >(ma, secondo
    > me, non bloccarti devi essere libero di
    > installare sia l'AV che il regalino, se proprio
    > vuoi).
    > Io non vedo nulla di sbagliato in una
    > funzionalità di protezione del genere,
    > anzi...
    Leggendo l'articolo, sembra che l'antivirus lo SEGNALI come "applicazione potenzialmente non voluta"... l'articolo non mi pare dica che Avira ne IMPEDISCA l'installazione.

    Inoltre, se ben mi ricordo, fra le opzioni dell'antivirus si può scegliere se attivare o disattivare la rilevazione dei programmi di questo genere, che non sono veri e propri virus.
    non+autenticato
  • - Scritto da: Ciccio

    > Inoltre, se ben mi ricordo, fra le opzioni
    > dell'antivirus si può scegliere se attivare o
    > disattivare la rilevazione dei programmi di
    > questo genere, che non sono veri e propri
    > virus.

    sì, ci sono diverse categorie meno pericolose che sono di default disabilitate.
    Personalmente, oltre a scaricare sempre dal sito ufficiale (e boicottando sourceforge e simili che spesso aggiungono regalini), faccio una passata di Malwarebytes Anti-Malware che è nato proprio per questo.
    non+autenticato
  • - Scritto da: Unchecky
    > http://benzene4ever.blogspot.it/2013/12/unchecky-s
    Grazie... questo Unchecky sembrerebbe piuttosto valido...
    non+autenticato
  • Posto che quella toolbar scassa anche a me, almeno quella cosa si propone di fare qualcosa di utile. I software aggiuntivi di freemium sono immondizia e stop!
    non+autenticato